Discussion :

[Stéphane le calme]

L'autorité de certification Let's Encrypt annonce le support du protocole ACME,
dans Apache HTTP Server Project

L’autorité de certification Let's Encrypt a distribué un grand volume de certificats gratuits par jour en 2016, dépassant parfois la barre des 100 000 certificats par jour. Fin juin, l’autorité a indiqué avoir franchi les 100 millions de certificats depuis son lancement en décembre 2015. Rappelons qu’en février 2017, Let's encrypt était utilisé par 13,70 % du total des domaines français enregistrés.

Josh Aas, directeur exécutif de l’ISRG (Internet Security Research Group), l'organisation qui supervise Let's Encrypt, y est allé de son commentaire : « Ce nombre reflète au moins quelques éléments : tout d'abord, cela illustre la forte demande de nos services. Nous souhaitons remercier tous les administrateurs système, les développeurs Web et tous les autres gestionnaires de serveurs pour prioriser la protection de vos visiteurs avec HTTPS.
« Ensuite, cela illustre notre capacité d'évolutivité. Je suis incroyablement fier du travail que nos équipes d'ingénieurs ont fait pour rendre possible ce volume de diffusion. Je suis également très reconnaissant à nos partenaires opérationnels, parmi lesquels IdenTrust, Akamai et Sumo Logic.
« Et enfin, cela illustre la puissance de la gestion automatisée des certificats. Si l'obtention et la gestion de certificats de Let's Encrypt nécessitent toujours des étapes manuelles, il n'y a tout simplement aucun moyen de pouvoir utiliser autant de sites que nous. »

Depuis, l’autorité n’a pas cessé d’évoluer. Par exemple, pour faciliter le déploiement de ses outils et booster encore plus l’adoption de ses services de sécurité web, Let’s Encrypt a annoncé qu’elle offrira des « wildcard certificates » (certificats génériques) à partir de janvier 2018. Selon l’autorité, ces certificats génériques ont pour but de sécuriser n’importe quel nombre de sous-domaines d’un domaine de base. En d’autres termes, avec ces certificats génériques, les administrateurs pourront utiliser une seule paire de certificat et clé pour un domaine et tous ses sous-domaines, et ne plus enregistrer individuellement un certificat pour chaque adresse web comme c’est le cas présentement.

Cette fois-ci, l’autorité a annoncé le support du protocole ACME dans Apache HTTP Server Project : « Nous sommes ravis que le support pour l'obtention et la gestion des certificats TLS via le protocole ACME arrive sur le projet de serveur HTTP Apache (httpd). ACME est le protocole utilisé par Let's Encrypt et, espérons-le, d'autres autorités de certification dans le futur. Nous prévoyons que cette fonctionnalité facilitera grandement l'adoption du protocole HTTPS pour les sites Web nouveaux et existants. »

L’autorité continue en rappelant que « Nous avons créé Let's Encrypt afin de rendre l'obtention et la gestion des certificats TLS aussi simple que possible. Pour les abonnés Let’s Encrypt, cela signifie généralement obtenir un client ACME et exécuter quelques commandes simples. En fin de compte, cependant, nous aimerions que la plupart des abonnés de Let's Encrypt aient des clients ACME intégrés à leur logiciel serveur, de sorte que l'obtention d'un logiciel supplémentaire n'est pas nécessaire. Moins il faut de travail pour déployer HTTPS, mieux c'est !

« Le support d'ACME étant intégré à l'un des serveurs Web les plus populaires au monde, Apache httpd, est génial, car cela signifie que le déploiement de HTTPS sera encore plus facile pour des millions de sites Web ». L’autorité estime donc qu’il s’agit là d’un « grand pas en avant » vers la délivrance d'un certificat idéal ainsi que vers une meilleure gestion de l'expérience utilisateur au plus grand nombre de personnes possible.

« Le module Apache httpd ACME s'appelle mod_md. Il est actuellement dans la version de développement de httpd et un plan est en cours de formulation pour le rétroporter vers une version stable de httpd 2.4.x. Le code mod_md est également disponible sur GitHub », assure Let’s Encrypt.

Il est également important de mentionner que la version de développement d'Apache httpd inclut désormais la prise en charge d'une directive SSLPolicy. Correctement configurer TLS a traditionnellement impliqué de faire un grand nombre de choix complexes. Avec la directive SSLPolicy, les administrateurs choisissent simplement une configuration TLS moderne, intermédiaire ou ancienne et des choix judicieux seront faits pour eux.

Source : Let's Encrypt

Voir aussi :

Let's Encrypt annonce la disponibilité des certificats génériques en janvier 2018, pour faciliter la gestion des sous-domaines avec un seul certificat
Avec ses certificats SSL gratuits, Let's Encrypt pourrait-il représenter un danger pour la sécurité sur le Web ? Oui, selon des experts

[Gecko]

Let's encrypt est certes une avancée mais ce système représente un risque de fraude accru. Il serait appréciable de voir les browsers mettre à jour les icônes relatives aux certificats pour que l'utilisateur soit prévenu qu'il est déconseillé d'effectuer des paiements sur les sites utilisant ce type de certificat.

[Spartacusply]

Let's encrypt est certes une avancée mais ce système représente un risque de fraude accru. Il serait appréciable de voir les browsers mettre à jour les icônes relatives aux certificats pour que l'utilisateur soit prévenu qu'il est déconseillé d'effectuer des paiements sur les sites utilisant ce type de certificat.

Oui, non.. enfin... une explication semble s'imposer là non ?? Le risque de fraude accru ? Et pourquoi les déconseiller pour les paiements ?

[cryptonyx]

@spartacusply
Risque de fraude accru parce que contrairement à des certificats SSL/TLS (payants) émis par des autorités certifiées, il n'y a pas de vérification de l'identité du demandeur du certificat. Donc n'importe qui peut demander un certificat pour n'importe quoi.
Néanmoins, Let's Encrypt est une excellente initiative qui permet de démocratiser l'emploi de TLS (oubliez SSL).